Банковский троян OddJob применяет новые методы кражи данных

По информации компании Trusteer, новый троянец OddJob, изучением которой специалисты занимались в закрытом режиме на протяжении пары месяцев, активно развивается. Эта сложная вредоносная программа внедряется в Firefox и Internet Explorer, выполняет мониторинг сайтов, может внедрять код, прерывать соединения, вести журналы GET и POST запросов.

Но главная его особенность в том, что для кражи финансовых данных и опустошения банковских счетов используется совершенно новый метод нападения. Троян вклинивается в открытые банковские сессии пользователей в реальном времени, крадет коды доступа (в том числе mTAN-коды без доступа к мобильному телефону) и может открывать собственные сессии, выдавая себя за добросовестного пользователя. Более того, троянец умеет в любой момент прерывать соединения клиента с банком, и напротив, когда клиент закрывает сессию, перехватывать управление и оставлять ее открытой.

Согласно Trusteer, анализ OddJob дает основания полагать, что троян может быть перепрограммирован для кражи других данных в ходе веб-сессий, инъекций вредоносного кода в страницы, пр. Вероятно, в будущем OddJob будет дополнен и другими, более изощренными функциями, тем более что вредоносная программа обновляется еженедельно.

В отличие от большинства банковских троянов OddJob не сохраняет код конфигурации на диск – эти данные захватываются с управляющего сервера в момент, когда открывается новая сессия работы с браузером. Такая модель поведения затрудняет детектирование, но Trusteer утверждает, что ее ПО Rapport умеет блокировать OddJob.

Компания Trusteer уже информировала об OddJob банки и финансовые институты США и Европы.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365